アイデンティティと認証の交差点は、2022年には非常に忙しくなるだろう。
1月24日から25日にかけての2日間で ベター・アイデンティティ連合FIDOアライアンス、そして ID窃盗リソースセンター (ITRC)は、政府および産業界の代表者が、2022 年およびそれ以降のアイデンティティと認証に関する政策、課題、および機会についての洞察を提供する、アイデンティティ、認証、およびサイバーセキュリティ政策フォーラムを共催した。
本人確認は常に重要であり、パンデミックの際には、本人確認能力の格差がさまざまな形で劇的に露呈した。 米国パンデミック対応説明責任委員会(PRAC)ID詐欺削減・救済ワーキンググループのスーザン・ギブソン委員長と、ベター・アイデンティティ連合(Better Identity Coalition)のコーディネーター、ジェレミー・グラント氏による基調講演では、パンデミックにおけるIDの課題について詳しく説明された。 ギブソン氏は、PRACは米国政府によって結成され、透明性を促進し、連邦政府のパンデミック対応(総額約5兆ドルの援助)を協調して監督することを目的としていると説明した。
ギブソンは、パンデミック援助詐欺が多発しているが、その原因の少なからずは本人確認と調整の弱さにあると指摘した。 たとえば、ひとつの社会保障番号が29の州で失業保険の請求に使われていることを指摘した。
社会保障番号やその他の手段によるID詐欺はよくあることだが、ギブソン氏は、ID泥棒を止めようとすることだけが問題に対する答えではない、と強調した。
「ID窃盗を阻止することで問題を解決しようとするのではなく、ID窃盗がすでに起こっていることを認識した上で、いかにして強固な認証を得るかということに焦点を当てる必要がある」とギブソン氏は言う。
データ漏洩は後を絶たない
データ漏洩の根本的な原因として、また結果として、アイデンティティはしばしばその根源にある。
午前中のセッションでは、ID盗難リソースセンター(ITRC)の最高執行責任者(COO)であるジェームズ・リー氏が、同センターが発表した2021年末のデータ漏えい報告書から重要なデータをいくつか紹介した。 なかでも、2021年はデータ漏えいの過去最悪の年であり、1,862件のインシデントが2億9,400万人の被害者に影響を与えたという事実が注目される。
リー氏によると、データ漏洩で盗まれるデータ属性のトップはユーザーの名前、次いで社会保障番号だという。 とはいえ、詐欺のフォーラムでは、盗まれた社会保障番号が1つ2ドルで売られているという。 対照的に、電子メールアカウント、特にGmailアカウントに関連するログイン名とパスワードは、それぞれ80ドルの価値がある。
イベントの初日は、アイデンティティと認証のさまざまな側面に関する2つのパネルで締めくくられた。 政府がアイデンティティの調整と改善のために行っていることについてのパネルディスカッション、 ジェイソン・リムTSA、スクリーニング技術統合プログラム(STIP)部門マネージャー、 フィル・ラム 米ゼネラル・サービス・アドミニストレーション、アイデンティティ担当エグゼクティブ・ディレクター、 ティム・ワイラー ビル・フォスター下院議員 経済政策顧問兼法律顧問 ケイト・ウェクスラー消費者第一連合事務局長である辻本氏は、各機関の取り組みについてそれぞれの見解を述べた。
アイデンティティとは、社会のすべての構成員にとって同じではないアクセスに関するものでもある。 これは、エバ・ヴェラスケスID盗難リソース・センター(ITRC)社長兼CEOが主催し、パネリストとしてシンクロニー集中共有サービス担当上級副社長のバーデル・ルイス氏、ファウンドリー・ユナイテッド・メソジスト教会のベン・ロバーツ牧師、ペニー・フォワード・アンド・コミュニティ・メンバーのクリス・ピーターソン氏とともに登壇した、この日の最後のパネルにおける主要テーマであった。
日目:強力な認証の未来
イベント2日目のオープニング基調講演では、ホワイトハウス行政管理予算局(OMB)のエリック・ミル上級顧問が基調講演を行い、政府における強力な認証の方向性について概説した。
ミル氏は、2021年秋にOMBが連邦政府ゼロ・トラスト戦略の草案を発表し、フィッシングに対する防御を重要な優先事項として定義したことを指摘した。 ミルズ氏によれば、フィッシングは敵が企業内に足がかりを作る最も一般的な方法の一つであり、政府はこの種の攻撃に対する防御を桁違いに強化することに注力したいという。
「私たちは、フィッシングに耐性のない多要素認証方式を使用しないことについて、連邦政府民間機関のための明確な基準線を作ろうとしています」とミルズ氏は言う。
ミルズ氏は、PIV(Personal Identity Verification)カードは政府で一般的に使用されており、フィッシングの抑止力として効果的であると指摘した。 また、FIDO WebAuthnプラットフォームの認証機能についても、より広範なアプローチが必要だと付け加えた。
「私たちは、PIV、FIDO、ウェブベースの認証機能が連邦政府全体で混在して使用され、フィッシングの文脈では他の脆弱な方法が使用されなくなることを本当に期待しています」とミルズ氏は言う。
ゼロ・トラスト戦略は会議の翌日に正式に発表され、FIDO認証のようなフィッシングに強いMFAの使用を求めている。
FIDOアライアンスの強力な認証とアイデンティティへの取り組み
基調講演では、FIDOアライアンスのエグゼクティブ・ディレクターであるアンドリュー・シキアー(Andrew Shikiar)氏が、強固な認証のあり方を改善するために同団体が進めている進捗状況や取り組みについて概説した。
Shikiar氏は、FIDOが対処しようとしている必要性は、単に多要素認証(MFA)のチェックボックス項目になることではなく、むしろ今日のネットワーク社会に不可欠な接続されたサービスを保護するための真の基盤となることだと強調した。
シキアールは、2022年はMFA攻撃が主流になる年になるだろうと予測している。 FIDOが提供するフィッシングに強いアプローチを持つことは非常に重要である。 フィッシングに強いMFAと強力な認証の必要性は、複数の政府によってベスト・プラクティスとして挙げられている。
「パスワードはユビキタスであり、ウェブのDNAの一部なので、私たちの生活の一部です」とシキアー氏は言う。 「簡単に言えば、私たちは彼らに取って代わる必要がある。
MFAへの障壁と身元証明の改善の必要性
政府と産業界がどのように認証を再考しているかについてのパネルでは、パネリストたちが、何が採用を妨げているのか、そして次に何が必要なのかについて洞察を示した。
マイクロソフトのアイデンティティ・スタンダード担当ディレクターであるパム・ディングル氏は、強固な認証とMFAの必要性は認識されているものの、それが必ずしも実施されないのにはいくつかの理由があるとコメントしている。 MFAを導入しない組織のタイプの1つは、MFAに何らかの組織の障壁がある場合だ。
「そのため、顧客は私たちのところにやってきて、正しくやる必要があることはわかっているが、レガシー・テクノロジーを持っている、あるいは採用できない他の理由がある、と言うのです」とディングルは言う。 “他のみんなにとっては、それは人々のリストに載っていると思う。”
Guidehouse社のChristine Owenサイバーセキュリティ部門アドバンスド・ソリューション・ディレクターは、MFA導入の課題はサービスアカウントにあるとコメントしている。 オーウェン氏は、こうしたタイプのアカウントにMFAを追加することは、必ずしも容易ではないと指摘した。CISAのグラント・ダッシャー(Grant Dasher)氏は、同団体の見解として、IDは明らかにゼロ・トラスト・アーキテクチャーの基盤であると指摘した。 実際、CISA は最近のガイダンスの中で FIDO を認証のゴールド・スタンダードとしている。
所定の ID が実際に真正であることを保証するのに役立つのが ID プルーフィングの領域であ り、ID 文書および属性の初期検証にも役立つ。 午後のパネルディスカッションでは、FIDOアライアンスの認証プログラム担当ディレクターであるライ・リベラ氏が、ID証明のための認証プログラム作成に向けた現在進行中の取り組みについて概説した。
米下院金融サービス委員会のブライトン・ハスレット顧問は、身元証明の分野における新たな規制は、実際の情報に基づく必要があることが重要だと指摘した。
「この分野での最大の脅威は、誤解と恐怖から生まれる法律や規制だと思います」とハスレットは言う。 「新しい技術の規制を急ぐのは、それが現実のものであろうとなかろうと、たいていの場合、悪い結果を軽減しようとするものだ。
強力な認証、アイデンティティと銀行システム
アイデンティティを保護するための強力な認証の必要性は、金融部門とその政府 規制当局にとって極めて重要である。
「FDICのチーフ・イノベーション・オフィサーであるスルタン・メグジ氏は、「米国の金融セクターにリスクをもたらしている多くのものを見てみると、それらはすべてアイデンティティに支えられている。
メグジの意見は、FinCENデジタル・アイデンティティ、インクルージョン、デジタル決済インフラ担当のケイ・ターナー上級参事官も同じだった。 FinCENの金融部門における役割は、銀行秘密法の主要な管理者であり、米国の金融情報部門であり、不正金融、マネーロンダリング、テロ資金対策のような関連犯罪の防止を支援することである、と彼女は指摘した。
「アイデンティティはすべての金融サービスの核心であり、信頼の核心です」とターナー氏。 「だから、リスクを評価する能力は、誰と関わっているかを把握する能力と同じ程度にしかないと認識している」。
米国財務省のエリザベス・ローゼンバーグ次官補(テロ資金供与・金融犯罪担当)の基調講演でも、ターナーの意見が多く聞かれた。
ローゼンバーグ氏は、金融システムを悩ませている重大な問題の多くは、誰が誰と取引しているのかを容易かつ確実に把握できないことに起因していると述べた。
「政策的な問題として、デジタルIDは、国家安全保障と金融安全保障を守る方法を即座に劇的に改善する可能性を秘めている」とローゼンバーグ氏。
ローゼンバーグ氏は、単にIDのための強力な認証の重要性を認識するだけでなく、米国財務省は2022年をデジタルIDのためのアクションの年としてアプローチしていると述べた。
「来年のアイデンティティ・フォーラムが開催されたときに、同じ問題に取り組んでいたのでは困ります」とローゼンバーグ。 “少なくとも、私は今と同じような問題が今と同じ程度に頻発するのを見たくないし、財務省はその実現に尽力している”
閉会基調講演では、 ホワイトハウス国家安全保障会議(NSC)のキャロル・ハウス・サイバーセキュリティ&セキュア・デジタル・イノベーション担当ディレクターも、IDが国家安全保障にとって極めて重要であると指摘した。
「私たちが目にしてきた多くのサイバー事件は、多要素認証ソリューションの導入を含む、より強力なIDおよびアクセス管理ソリューションによって阻止できたかもしれない侵害のベクトルを含んでいます」とハウス氏は述べた。